Fortinet потвърди, че тихомълком е поправила критична уязвимост от типа "нулев ден" в защитната стена за уеб приложения FortiWeb, която сега е "масово експлоатиранa "
Пропускът е бил тихомълком поправен след доклади че в началото на октомври неаутентифицирани нападатели са използвали неизвестен недостатък на FortiWeb за обхождане на пътища, за да създават нови административни потребители на изложени на интернет устройства.
Атаките бяха идентифицирани за първи път от фирмата за разузнаване на заплахи Defused на 6 октомври, която публикува доказателство за концептуален експлойт и съобщава that an “unknown Fortinet exploit (possibly a CVE-2022-40684 variant)” is being used to send HTTP POST requests to the /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi Fortinet endpoint to create local admin-level accounts.
В четвъртък изследователите по сигурността от WatchTowr Labs също демонстрираха експлойт и пуснаха инструмент, наречен "Генератор на артефакти за заобикаляне на удостоверяването на FortiWeb за да помогне на защитниците да идентифицират уязвими устройства.
Фирма за киберсигурност Rapid7 добавен че недостатъкът засяга версии 8.0.1 и по-ранни версии на FortiWeb, тъй като потвърди, че публично достъпният доказателствен експлойт вече не работи след актуализация до версия 8.0.2.
Днес Fortinet разкри, че атакуващите активно използват уязвимост в объркването на пътищата (сега проследена като CVE-2025-64446) в компонента на графичния потребителски интерфейс на FortiWeb, която позволява на неупълномощени атакуващи да изпълняват административни команди в непоправени системи чрез подправени HTTP или HTTPS заявки.
"Fortinet е забелязала, че това се използва в дивата природа", отбеляза компанията в Петък съвет за сигурност, която потвърждава, че нулевият ден е бил поправен във FortiWeb 8.0.2, пусната на 28 октомври, три седмици след първия доклад за активна експлоатация на CVE-2025-64446.
| Версия | Засегнат | Решение |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 до 8.0.1 | Надграждане до версия 8.0.2 или по-висока |
| FortiWeb 7.6 | 7.6.0 до 7.6.4 | Надграждане до версия 7.6.5 или по-висока |
| FortiWeb 7.4 | 7.4.0 до 7.4.9 | Надграждане до версия 7.4.10 или по-висока |
| FortiWeb 7.2 | 7.2.0 до 7.2.11 | Надграждане до версия 7.2.12 или по-висока |
| FortiWeb 7.0 | 7.0.0 до 7.0.11 | Надграждане до версия 7.0.12 или по-висока |
На федералните агенции е наредено да направят кръпка в рамките на една седмица
CISA също така добавена е грешката CVE-2025-64446 за обхождане на пътища към каталога си с активно експлоатирани уязвимости в петък, като нареди на федералните агенции на САЩ да да поправят системите си до 21 ноември..
"Този тип уязвимост е чест вектор на атаки за злонамерени кибернетични актьори и представлява значителен риск за федералното предприятие", предупреди Агенцията за киберсигурност.
Администраторите, които не могат да преминат незабавно към FortiWeb 8.0.2, трябва да забранят HTTP или HTTPS за всички интерфейси за управление, насочени към интернет, и да гарантират, че достъпът е ограничен до доверени мрежи.
Fortinet също така посъветва клиентите да проверят конфигурацията си и да прегледат регистрите за нови неоторизирани администраторски акаунти и други неочаквани модификации.
BleepingComputer се свърза с Fortinet с въпроси относно тези продължаващи атаки, но все още не сме получили отговор.
През август Fortinet поправена е критична грешка при въвеждане на команда (CVE-2025-25256) с публично достъпен код за експлойт в своето решение за мониторинг на сигурността FortiSIEM, един ден след като компанията за киберсигурност GreyNoise предупреди за масивен скок на атаките с груба сила, насочени към SSL VPN мрежите на Fortinet.
EN_US 
BG 
IT